セキュリティのユースケース - AWS IoT Device Defender
クラウド側のユースケースデバイス側のユースケース

セキュリティのユースケース

このセクションでは、デバイスフリートを脅かすさまざまな種類の攻撃と、これらの攻撃を監視するために使用できる推奨メトリクスについて説明します。セキュリティの問題を調査する出発点としてメトリクスの異常を使用することをお勧めしますが、メトリクスの異常のみに基づいてセキュリティ上の脅威を決定しないでください。

異常アラームを調査するには、アラームの詳細をデバイス属性、デバイスメトリクスの履歴トレンド、Security Profile メトリクスの履歴トレンド、カスタムメトリクス、ログなどのコンテキスト情報と関連付けて、セキュリティの脅威が存在するかどうかを判断します。

クラウド側のユースケース

Device Defender は、AWS IoT クラウド側で以下のユースケースを監視できます。

[知的財産の盗難:]

知的財産の盗難には、企業秘密、ハードウェア、ソフトウェアなどの個人または企業の知的財産を盗むことが含まれます。デバイスの製造段階で発生することがよくあります。知的財産の盗難は、著作権侵害、デバイスの盗難、またはデバイス証明書の盗難などの形で発生することがあります。クラウドベースの知的財産の盗難は、IoT リソースへの意図しないアクセスを許可するポリシーが存在することによって発生する可能性があります。IoT ポリシーを確認し、[Audit overly permissive checks] (権限が過剰のチェックの監査) をオンにして、権限が過剰であるポリシーを特定する必要があります。

メトリクス

根拠

送信元 IP デバイスが盗まれた場合、その送信元 IP アドレスは、通常のサプライチェーンで流通しているデバイスの通常想定される IP アドレス範囲外になります。
受信したメッセージの数

攻撃者はクラウドベースの IP 盗難でデバイスを使用する可能性があるため、AWS IoT クラウドからデバイスに送信されたメッセージ数またはメッセージサイズに関連するメトリクスが急増する場合があり、これはセキュリティ上の問題があることを示しています。
メッセージサイズ
[MQTT ベースのデータ流出:]

データ流出は、悪意のある行為者が IoT のデプロイまたはデバイスから不正なデータ転送を実行したときに発生します。攻撃者は、クラウド側のデータソースに対して MQTT を通じてこの種の攻撃を開始します。

メトリクス

根拠

送信元 IP デバイスが盗まれた場合、その送信元 IP アドレスは、標準のサプライチェーンで流通しているデバイスの通常想定される IP アドレス範囲外になります。
受信したメッセージの数

攻撃者は MQTT ベースのデータ流出でデバイスを使用する可能性があるため、AWS IoT クラウドからデバイスに送信されたメッセージ数またはメッセージサイズに関連するメトリクスが急増する場合があり、これはセキュリティ上の問題があることを示しています。
メッセージサイズ
[なりすまし:]

なりすまし攻撃は、AWS IoT のクラウド側のサービス、アプリケーション、データにアクセスしたり、IoT デバイスの指揮および制御に関与したりするために、攻撃者が既知のまたは信頼できるエンティティとして振る舞う攻撃です。

メトリクス

根拠

認証エラー 攻撃者が盗まれた ID を使用して信頼できるエンティティとして振る舞うと、認証情報が無効になったり、信頼できるデバイスによって既に使用されていたりするため、接続関連のメトリクスが急増することがよくあります。承認の失敗、接続の試行、または切断における異常な動作は、潜在的ななりすましのシナリオを示唆します。
接続の試行
切断
[クラウドインフラストラクチャの悪用:]

AWS IoT クラウドサービスの不正利用は、メッセージ量が多いトピックやサイズの大きいトピックを発行またはサブスクライブするときに発生します。コマンドおよび制御に対する過度に寛容なポリシーまたはデバイスの脆弱性の悪用も、クラウドインフラストラクチャの悪用を引き起こす可能性があります。この攻撃の主な目的の 1 つは、AWS の請求額を増やすことです。IoT ポリシーを確認し、[Audit overly permissive checks] (権限が過剰のチェックの監査) をオンにして、権限が過剰であるポリシーを特定する必要があります。

メトリクス

根拠

受信したメッセージの数 この攻撃の目的は、AWS の請求額を増やすことです。メッセージ数、受信したメッセージ、メッセージサイズなどのアクティビティを監視するメトリクスが急増します。
送信されたメッセージの数
メッセージサイズ
送信元 IP 疑わしい送信元 IP リストが表示される場合があります。攻撃者は、これらの IP からメッセージボリュームを生成します。

デバイス側のユースケース

Device Defender は、デバイス側で次のユースケースを監視できます。

[サービス拒否攻撃:]

Denial-of-Service (DoS; サービス拒否) 攻撃は、デバイスまたはネットワークをシャットダウンし、目的のユーザがデバイスまたはネットワークにアクセスできないようにすることを目的としています。DoS 攻撃は、ターゲットをトラフィックでフラッディングしたり、システムの起動を遅らせ、もしくはシステムの障害を引き起こすリクエストを送信したりすることで、アクセスをブロックします。IoT デバイスは DoS 攻撃に使用できます。

メトリクス

根拠

出力パケット数

通常、DoS 攻撃では、特定のデバイスからの送信通信速度が高くなります。また、DoS 攻撃のタイプによっては、出力パケット数と出力バイト数のいずれかまたは両方が増加する可能性があります。
出力バイト数
送信先 IP

デバイスが通信する IP アドレス/CIDR 範囲を定義した場合、送信先 IP における異常は、デバイスからの認証されていない IP 通信を示唆する場合があります。

リッスンする TCP ポート

DoS 攻撃には、通常、より大きなコマンドおよび制御インフラストラクチャが必要です。このインフラストラクチャでは、デバイスにインストールされているマルウェアが、攻撃する相手と攻撃するタイミングに関するコマンドや情報を受信します。したがって、このような情報を受信するために、マルウェアは通常、デバイスによって通常使用されていないポートでリッスンします。
リッスンする TCP ポート数

リッスンする UDP ポート
リッスンする UDP ポート数
[横方向の脅威のエスカレーション:]

横方向の脅威のエスカレーションは通常、攻撃者がネットワークの 1 つのポイント (コネクテッドデバイスなど) にアクセスできるようになることから始まります。その後、攻撃者は、盗まれた認証情報や脆弱性の悪用などの方法で、特権レベルまたは他のデバイスへのアクセス権を強化しようとします。

メトリクス

根拠

出力パケット数

一般的な状況では、攻撃者はローカルエリアネットワーク上でスキャンを実行し、攻撃対象の選択を絞り込むために、利用可能なデバイスを偵察および特定する必要があります。この種のスキャンでは、出力バイト数および出力パケット数が急増する場合があります。
出力バイト数
送信先 IP

デバイスが一連の既知の IP アドレスまたは CIDR と通信することになっている場合、異常な IP アドレスとの通信の試行を特定できます。このアドレスは、横方向の脅威のエスカレーションのユースケースでは、ローカルネットワーク上のプライベート IP アドレスであることがよくあります。
認証エラー

攻撃者は、IoT ネットワーク全体で権限のレベルを上げるために、取り消され、または執行した盗まれた認証情報を使用する可能性があります。これにより、承認の失敗が増える可能性があります。
[データ流出または監視:]

データ流出は、マルウェアまたは悪意のある行為者がデバイスまたはネットワークエンドポイントから不正なデータ転送を実行したときに発生します。データ流出は、通常、攻撃者にとってデータや知的財産の取得、またはネットワークの偵察の 2 つの目的を果たすものです。監視 (Surveillance) とは、認証情報を盗み、情報を収集する目的で、悪意のあるコードを使用してユーザーの活動をモニタリングすることを意味します。以下のメトリクスは、いずれかのタイプの攻撃を調査するための出発点となります。

メトリクス

根拠

出力パケット数

データ流出や監視攻撃が発生すると、攻撃者は単にデータをリダイレクトするのではなく、デバイスから送信されたデータをミラーリングすることがよくあります。これは、意図したデータが届かないときに防御者によって識別されます。このようなミラーリングされたデータは、デバイスから送信されるデータの総量を大幅に増加させ、出力パケット数および出力バイト数の急増を引き起こします。
出力バイト数
送信先 IP

攻撃者がデータ流出攻撃や監視攻撃でデバイスを使用している場合、攻撃者が管理する異常な IP アドレスにデータが送信されることになります。送信先 IP をモニタリングすると、このような攻撃を特定できます。
[仮想通貨のマイニング]

攻撃者は、デバイスの処理能力を活用して暗号通貨をマイニングします。暗号通貨マイニングはコンピューティングを多用するプロセスであり、通常、他のマイニングピアやプールとのネットワーク通信を必要とします。

メトリクス

根拠

送信先 IP

通常、暗号通貨マイニング中は、ネットワーク通信が必要です。デバイスが通信する必要がある IP アドレスのリストを厳密に制御すると、暗号通貨マイニングなどのデバイス上の意図しない通信を識別するのに役立ちます。

CPU の使用状況のカスタムメトリクス

暗号通貨マイニングは、デバイス CPU の高い使用率をもたらす多くのコンピューティングを必要とします。このメトリクスの収集と監視を選択した場合、通常よりも高い CPU 使用率は、暗号通貨マイニング活動を示唆している可能性があります。
[コマンドと制御、マルウェア、ランサムウェア]

マルウェアやランサムウェアは、デバイスの制御を制限し、デバイスの機能を制限します。ランサムウェア攻撃の場合、ランサムウェアが使用する暗号化により、データへのアクセスが失われます。

メトリクス

根拠

送信先 IP

ネットワーク攻撃またはリモート攻撃は、IoT デバイスに対する攻撃の大部分を占めています。デバイスが通信する IP アドレスのリストを厳密に制御することで、マルウェアやランサムウェアの攻撃に起因する異常な送信先 IP を特定できます。

リッスンする TCP ポート

いくつかのマルウェア攻撃には、デバイスで実行するコマンドを送信するコマンド & コントロールサーバーの起動が含まれます。このタイプのサーバーは、マルウェアやランサムウェアのオペレーションにとって重要であり、開いている TCP/UDP ポートとポート数を厳しく監視することで識別できます。
リッスンする TCP ポート数

リッスンする UDP ポート
リッスンする UDP ポート数